PERSONEELSADMINISTRATIE - 30.04.2018

Hoe GDPR-proof informeren?

Als werkgever verwerkt u zgn. persoonsgegevens. Is het waar dat u tegen 25 mei 2018 volgens de zgn. GDPR de toestemming van uw (kandidaat-)werknemers moet hebben om dat verder te mogen doen? Wat zal er veranderen?

De toepassing van de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR) in het Engels, doet heel wat stof opwaaien en leidt tot heel wat ongerustheid onder werkgevers. Dat is eigenlijk niet nodig. De AVG zet nl. in belangrijke mate het stelsel dat we vandaag kennen, onder de Wet verwerking persoonsgegevens, gewoon verder. Voor zover het gaat om personeelszaken, wordt dat stelsel slechts op een aantal punten aangepast en verscherpt. In deze bijdrage gaan we na onder welke voorwaarden u persoonsgegevens van werknemers en sollicitanten mag opslaan en verwerken.

Expliciete toestemming vragen?

Contract of wet. Om persoonsgegevens te mogen verwerken, moet u over een zgn. rechtsgrond beschikken. Dat kan een expliciete toestemming van de betrokkene zijn, maar dat hoeft niet per se. Die rechtsgrond kan nl. ook iets anders zijn; meer nog, in personeelszaken zal het zelfs meestal iets anders zijn. Zo vinden heel wat zaken die u elektronisch verwerkt hun grondslag in de arbeidsovereenkomst en/of in de wetgeving; denk maar aan alle gegevens om de lonen te berekenen.

Gerechtvaardigd werkgeversbelang. Daarnaast zal uw rechtsgrond om bepaalde gegevens van werknemers te verwerken, vaak ook mede bestaan uit het belang dat u daarbij heeft. Denk bv. aan de gegevens die verband houden met de beveiliging van het bedrijfsnetwerk.

Kandidaat-werknemers. Zelfs voor een sollicitant is er in principe al een rechtsgrond zonder dat u een expliciete individuele toestemming hoeft te vragen. Hier gaat u immers gegevens verwerken voorafgaandelijk aan, maar wél met het oog op het sluiten van een arbeidsovereenkomst.

Wanneer wel toestemming nodig? Een expliciete toestemming zal wel nodig zijn als u zgn. gevoelige persoonsgegevens (bv. de religieuze overtuiging) of gezondheidsgegevens wilt verwerken. ‘Expliciet’ wil zeggen dat de betrokkene een actieve handeling moet stellen om zijn toestemming te geven; via een website houdt dit bv. in dat u telkens opnieuw moet laten klikken en niet mag voortgaan op reeds aangekruiste vakjes.

Informeren over de verwerking?

Ook niet nieuw. Een expliciete toestemming (om te mogen verwerken) vragen van een (kandidaat-)werknemer mag meestal dan al niet nodig zijn, dat neemt niet weg dat u wél verplicht bent en blijft om hem te informeren over de verwerking van zijn persoonlijke gegevens.

Ruimere verplichtingen. Het informeren over de gegevensverwerking moet al langer, maar de GDPR breidt deze verplichtingen wat verder uit. Zo moet voortaan ook aangegeven worden welke de rechtsgrond is van elke verwerking, wat de bron is waar de gegevens vandaan komen, hoe lang ze bewaard worden, enz.

Hoe eraan voldoen? Werknemers informeert u het best via een algemeen schriftelijk beleid inzake de verwerking van persoonsgegevens. Het gaat om een intern bedoeld document dat u bv. op het intranet kunt plaatsen. Hierin beschrijft u het antwoord op onder meer de net gestelde vragen en vragen als: voor welke doeleinden verwerkt u gegevens, over welke gegevens en over wie gaat het, enz.

In de relatie tussen werkgever en (kandidaat-)werknemer is er in principe geen formele toestemming nodig om persoonsgegevens te verwerken, omdat de wet of het contract meestal al de zgn. rechtsgrond vormt. Een informatieplicht heeft u echter wél en die wordt zelfs nog wat uitgebreid.

Contactgegevens

Indicator - Larcier | Tiensesteenweg 306 | 3000 Leuven

Tel.: 0800 39 067 | Fax: 0800 39 068

Customer.Services@indicator-larcier.be | www.indicator-larcier.be

 

Maatschappelijke zetel

Lefebvre Sarrut Belgium NV | Hoogstraat 139 - Bus 6 | 1000 Brussel

RPM Bruxelles | TVA BE 0436.181.878